BUNDESREPUBLIK (g) Off nl 



DEUTSCHLAND 




DEUTSCHES 
PATENTAMT 



DE 4217 830 A1 



© Int. CI. 5 : 

G 06 F 1/30 

G06F 12/16 
G07B 17/00 



(Jj) Aktenzeichen: 
@ Anmeldetag: 
(§) Offenlegungstag: 



P 42 17830.4 
29. 5.92 
2. 12.93 



(7?) Anmelder: 

Francotyp-Postalia GmbH, 13409 Berlin, DE 

(g) Vertreter: 

Schaumburg, K., Dipl.-lng.; Thoenes, D., Dipl.-Phys. 
Dr.rer.nat., Pat.-Anwalte, 81679 Munchen 



@ Erfinder: 

Gunter, Stephan, 1000 Berlin, DE 



Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zum Betreiben einer Datenverarbeitungsanlage 

(§5) Beschrieben wird ein Verfahren zum Betreiben einer 
Datenverarbeitungsanlage, bei dem ein kritischer Pro- 
grammabschnitt abgearbeitet wird, der das Einschreiben 
von Informationen in einen ersten nicht fluchttgen Speicher 
(X) veranla&t. Bei einer auf einen Spannungsausfall folgen- 
den Spannungswiederkehr werden die vor dem Spannungs- 
ausfall im Speicher (X) vorhandenen Informationen wieder 
bereitgestellt. Zu Beginn des Einschreibens der Informatio- 
nen wird eine erste Zustandskennung in einen Zustandsspei- 
cher (Z) einmal eingeschrieben und nach dem Einschreiben 
der Informationen eine zweite Zustandskennung in den 
Zustandsspetcher (Z) eingeschrieben. Danach werden die- 
selben Informationen in einen zweiten nicht fluchttgen 
Speicher (Y) eingeschrieben. Bei Spannungswiederkehr wird 
die zuletzt eingeschriebene Zustandskennung gelesen. Bei 
™ Vorliegen der ersten Zustandskennung werden die Informa- 
J tionen aus dem zweiten Speicher (Y) in den ersten Speicher 
(X) ubertragen. Bei Vorliegen der zweiten Zustandskennung 
werden die Informationen aus d m ersten Speicher (X) in 
den zweiten Speicher (Y) eingelesen. 
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Beschreibung 



Die Erfindung betrifft cin Verfahren zum Betreibcn 
einer Datenverarbeitungsanlage, bei dcm die Datenver- 
arbeitungsanlage mindestens inen kritischen Pro- 
grammabschnitt abarbeitet, der das Einschreiben von 
Informationen in einen ersten nicht flflchtigen Speicher 
veranlaBt und der nach erfolgter Abarbeitung verlassen 
wird, wobei bei einer auf einen Spannungsausf all folgen- 
den Spannungswiederkehr die vor dem Spannungsaus- 
fall im Speicher vorhandenen Informationen wieder be- 
reitgestellt werden. 

Ein derartiges Verfahren wird z. B. bei einer Frankier- 
maschine eingesetzt, die einen nicht flflchtigen Speicher 
hat, in dem die noch verf flgbaren Portobetr&ge oder die 
bereits aufgebrauchten Portobetr&ge gespeichert wer- 
den. Bei Spannungswiederkehr nach einem Spannungs- 
ausfall muB der Inhalt des Speichers fflr die weiteren 
Buchungsvorgdnge mit dem Inhalt vor dem Spannungs- 
ausfall tibereinstimmea 

Bei einem aus der US-A 45 06 299 bekannten Verfah- 
ren erzeugt ein Spannungsflberwachungsschaltkreis 
beim Absinken der Versorgungsspannung ein Signal 
welches eine Speichersicherungsroutine in der Daten- 
verarbeitungsanlage ausldst, bei der die sicherheitsrele- 
vanten Informationen in einen nicht flflchtigen Speicher 
eingeschrieben werden. Um die Routine auch bei abrupt 
fehlender Versorgungsspannung noch ausftihren zu 
kdnnen, muB eine Energiereserve vorgesehen werden, 
beispielsweise in Form einer in einem Kondensator ge- 
speicherten elektrischen Ladung, die die Betriebsfahig- 
keit der Datenverarbeitungsanlage Qber den Zeitpunkt 
des Spannungsausfalls hinaus fflr kurze Zeit veriangert 
Wenn die Versorgungsspannung wiederkehrt, wird eine 
weitere Routine gestartet, welche die im nicht flflchtigen 
Speicher zwischengespeicherten Informationen wieder 
bereitstellt 

Nachteilig beim bekannten Verfahren ist das Erfor- 
dernis, spezielle Hardwarekomponenten zum Erkennen 
des Absinkens der Versorgungsspannung sowie zur ver- 
langerten Energieversorgung vorzusehen. Dies bedeu- 
tet, daB in die Hardware konventioneller Rechnerbau- 
gruppen eingegriffen oder diese Hardware um weitere 
Bauelemente erganzt werden muB, um eine Speichersi- 
cherung zu erreichen. Der damit verbundene technische 
Aufwand kdnnte vermieden werden, wenn es gel&nge, 
die mit der Hardware erreichten Wirkungen durch L6- 
sungen im Softwarebereich zu erzielen. 

Es ist Aufgabe der Erfindung, ein Verfahren zum Be- 
treiben einer Datenverarbeitungsanlage anzugeben, das 
mit geringem Hardwareaufwand realisiert werden kann 
und einen hohen Sicherheitsstandard gew&hrleistet 

Diese Aufgabe wird fQr ein eingangs genanntes Ver- 
fahren dadurch geldst, daB zu Beginn des Einschreibens 
der Informationen eine erste Zustandskennung in einen 
nicht flachtigen Zustandsspeicher mindestens einmal 
eingeschrieben wird, daB nach dem Einschreiben der 
Informationen eine zweite, von der ersten Zustandsken- 
nung verschiedene Zustandskennung in den Zustandss- 
peicher mindestens einmal eingeschrieben wird, die sel- 
ben Informationen in einen zweiten nicht flttchtigen 
Speicher eingeschrieben werden und der kritische Pro- 
grammabschnitt verlassen wird, daB bei Spannungswie- 
derkehr die vor dem Spannungsausf all in den Zu- 
standsspeicher zuletzt eingeschriebene Zustandsken- 
nung gelesen wird und bei V rliegen der ersten Zu- 
standskennung diese in den Zustandsspeicher minde- 
stens einmal eingeschrieben wird, die Informationen aus 
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dem zweiten Speicher in den ersten Speicher Qbertra- 
gen werden und der kritische Programmabschnitt ver- 
lassen wird, und daB bei Vorliegen der zweiten Zu- 
standskennung diese in den Zustandsspeicher minde- 
stens einmal eingeschrieben wird, die Informationen aus 
dem ersten Speicher in den zweiten Speicher eingelesen 
werden und der kritische Programmabschnitt verlassen 
wird. 

Die Erfindung beruht auf der uberlegung, die zu si- 
chernden Informationen zweimal in voneinander ge- 
trennten nicht flflchtigen Speichern abzulegen. Fallt die 
Versorgungsspannung zu einem Zeitpunkt aus, zu dem 
gerade ein Schreibvorgang im ersten Speicher ausge- 
fflhrt wird, so ist nicht sichergestellt, daB die zu spei- 
chernde Information, z. B. ein Datenbyte, ordnungsge- 
mftB in den Speicher gelangt Jedoch sind die im zweiten 
nicht flflchtigen Speicher enthaltenen Informationen, 
die beim vorherigen Abarbeiten des kritischen Pro- 
grammabschnitts abgespeichert worden waren, noch 
unverfalscht erhalten. Die in diesem Speicher gespei- 
cherten Informationen werden nun gemaB der Erfin- 
dung in den ersten Speicher eingeschrieben, so daB des- 
sen Speicherinhalt mit dem des zweiten Speichers flber- 
einstimmt Ein eventueller Schreibf ehler im ersten Spei- 
cher ist somit aufgehoben. 

Wird der kritische Programmabschnitt wegen Span- 
nungsausfalls in der Phase unterbrochen, in der die In- 
formationen in den zweiten Speicher eingeschrieben 
werden, so wird bei Spannungswiederkehr der Inhalt 
des ersten Speichers in den zweiten Speicher geladen 
und so ein mdglicher Schreibfehler im zweiten Speicher 
behoben. 

Zur Unterscheidung der verschiedenen Phasen des 
Einschreibens der Informationen in die beiden Speicher 
werden diese Phasen jeweils durch eine Zustandsken- 
nung gekennzeichnet, z.B. durch eine Zahl oder ein 
Textzeichen. Bei Spannungswiederkehr wird dann an- 
hand dieser Zustandskennung entschieden, welcher 
Speicher mit den Informationen des anderen Speichers 
zu laden ist 

Nach Spannungswiederkehr wird die Phase des Pro- 
grammabschnitts, in der die Inhalte der Speicher ausge- 
tauscht werden, durch Zustandskennungen gekenn- 
zeichnet Wenn nun in dieser Phase ein Spannungsaus- 
fall auftritt, so wird nach Spannungswiederkehr der 
noch unverfalscht vorhandene Inhalt des ersten oder 
des zweiten Speichers in den von der Spannungsunter- 
brechung betroffenen Speicher flbertragen. Dadurch 
wird fflr alle mdglichen Zeitpunkte einer Spannungsun- 
terbrechung sichergestellt, daB die vor der Spannungs- 
unterbrechung vorhandenen Informationen auch nach 
Spannungswiederkehr ordnungsgemfiB zur Verfflgung 
stehen. 

ErfindungsgemaB erfolgt das Einschreiben der Zu- 
standskennungen in den Zustandsspeicher jeweils min- 
destens einmal. Unter normalen Betriebsbedingungen 
ist dies zum Erzielen einer hohen Stcherheit ausrei- 
chend, da das Einschreiben nur sehr kurze Zeit erfordert 
und der Betriebszustand, bei dem w&hrend des Ein- 
schreibens ein Spannungsausfall eintritt und die Zu- 
standskennung nicht ordnungsgem&B in den Zustandss- 
peicher eingetragen wird, sehr unwahrscheinlich ist 
Will man aber diesen seltenen Betriebsfall ebenfalls si- 
cher beherrschen, so sind die Zustandskennungen je- 
weils mehrfach in den Zustandsspeicher einzutragen. 
Damit wird erreicht, daB selbst bei einem aktuelien feh- 
lerhaften Eintrag die zuv r eingetragene Zustandsken- 
nung noch ermittelt werden kann. 
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Vortcilhafterweise wird beim Lesen dcr Zustands- 
kennung nach Spannungswiederkehr diese Kennung fttr 
die weitere Auswertung zwischengespeichert und die 
aktuelle Zustandskennung in die selben Speicherplatze 
des Zustandsspeichers geschrieben, wie die vorherige 5 
Zustandskennung, dh. die Speicherinhalte werden un- 
mittelbar ersetzt Eine andere Mdgiichkeit ist die rollie- 
rende Eintragung der Zustandskennung in den Zu- 
standsspeicher, wobei die aktuelle Zustandskennung in 
die Speicherzelle mit gegenttber dem letzten Eintrag 10 
z. B. um 1 erhdhter Adresse abgespeichert wird. Wenn 
so weiter verf ahren wird und ein definierter Speieherbe- 
reich des Zustandsspeichers vollstflndig beschrieben ist, 
wird dieser Bereich des Zustandsspeichers von vorne 
beginnend Qberschrieben. Auf diese Weise bleiben die 15 
zuletzt eingetragenen Zustandskennungen fQr eine ge- 
wisse Zeit noch gespeichert, so daB auf diese zur Aus- 
wertung zugegriffen werden kann. 

Die bendtigten Speicher, d h. der erste, zweite Spei- 
cher und der Zustandsspeicher kdnnen raumlich vonein- 20 
ander getrennt vorhanden sein. Es ist aber auch mdglich, 
nur einen einzigen nicht flQchtigen Speicher vorzuse- 
hen, der in verschiedene Speicherbereiche eingeteilt ist, 
die als die vorgenannten Speicher dienen. 

Eine bevorzugte Weiterbildung der Erfindung ist da- 25 
durch gekennzeichnet, dafl die Datenverarbeitungsanla- 
ge mindestens einen unkritischen Programmabschnitt 
abarbeitet, der kein Einschreiben von Informationen in 
den ersten oder zweiten nicht flQchtigen Speicher ver- 
anlaBt, wobei zu Beginn des Abarbeitens dieses unkriti- 30 
schen Programmabschnitts in den Zustandsspeicher ei- 
ne dritte Zustandskennung mindestens einmal einge- 
schrieben wird, und daB bei Spannungswiederkehr beim 
Vorliegen der dritten Zustandskennung das Abarbeiten 
des unkritischen Programmabschnitts beim unterbro- 35 
chenen Programmschritt fortgesetzt wird. 

Bei zahlreichen Anwendungen sind Programmab- 
schnitte vorhanden, die nicht sicherheitsrelevante Infor- 
mationen in Speichern verandern. Eine solche Anwen- 
dung ist z. B. das Berechnen von Zwischenergebnissen 40 
oder die Dateneingabe, wobei die erforderlichen Pro- 
grammschritte jeweils anwendungsspezifisch in einem 
nicht kritischen Programmabschnitt zusammengefaBt 
sein kdnnen. Durch die MaBnahmen der Weiterbildung 
wird erreicht, daB bei Spannungswiederkehr unmittel- 45 
bar zum letzten Programmschritt des unkritischen Pro- 
grammabschnitts verzweigt wird und dort das Abarbei- 
ten von Programmschritten durch die Datenverarbei- 
tungsanlage fortgesetzt wird 

Eine andere Weiterbildung sieht vor, daB mindestens 50 
ein kritischer Programmabschnitt und/oder mindestens 
ein unkritischer Programmabschnitt Teil eines Pro- 
grammoduls ist, das von der Datenverarbeitungsanlage 
abgearbeitet wird Das Programmodul stellt eine in sich 
geschlossene Funktionseinheit dar, die beispielsweise 55 
bei einer Frankiermaschine das Frankieren oder das 
Eingeben von Portowerten steuert Durch diese MaB- 
nahme werden die vorgenannten Programmabschnitte 
in ein Programmodul eingebunden, beispielsweise in 
Form von Unterprogrammen oder Makroprogrammen. go 

Die vorgenannte Weiterbildung kann weiterhin da- 
durch gekennzeichnet sein, daB nach Spannungswieder- 
kehr und bei Vorliegen der ersten Zustandskennung die 
vom Programmodul gesteuerten Prozesse zurQckge- 
setzt und/oder das Programmodul erneut abgearbeitet 65 
wird 

Durch diese MaBnahme wird erreicht, daB nach Wie- 
derherstellung des Inhalts des ersten nicht flQchtigen 



Speichers die durch den Spannungsausfall unterbroche- 
ne Funktion von Beginn an wiederholt wird Dadurch 
wird sichergestellt, daB eine einmal begonnene, aber 
nicht beendete Funktion, beispielsweise ein Druckvor- 
gang, zuverlftssig ausgef Qhrt wird 

Wird dagegen nach Spannungswiederkehr festge- 
stellt, daB der kritische Programmabschnitt mit zweiter 
Zustandskennung unterbrochen worden ist, so wird das 
Abarbeiten des Programmoduls nach Verlassen des kri- 
tischen Programmabschnitts, in dem der Inhalt des 
zweiten Speichers in Obereinstimmung mit dem des er- 
sten Speichers gebracht worden ist, fortgesetzt 

Eine andere Weiterbildung ist dadurch gekennzeich- 
net, daB beim Abarbeiten mehrerer Programmodule je- 
dem Programmodul eine Modulkennung zugeordnet 
wird die in einem Modulspeicher zu Beginn des Abar- 
beitens des Programmoduls mindestens einmal abge- 
speichert wird, und daB bei Spannungswiederkehr zum 
Programmodul mit der zuletzt abgespeicherten Modul- 
kennung verzweigt wird 

Durch diese MaBnahme wird erreicht, daB nach Span- 
nungswiederkehr dasjenige Programmodul weiter ab- 
gearbeitet wird das bei Spannungsausfall unterbrochen 
wurde. 

Bei einer weiteren Ausgestaltung der Erfindung wird 
die erste, die zweite und/oder die dritte Zustandsken- 
nung und/oder die Modulkennung jeweils in n Speicher- 
zellen des Zustandspeichers bzw. des Modulspeichers 
mehrfach abgespeichert, wobei n eine vorgegebene 
Zahl ist, vorzugsweise 3. Durch das mehrfache Abspei- 
chern der Kennungen wird erreicht, daB die in der Zu- 
standskennung enthaltene Information auch dann noch 
rekonstruiert werden kann, wenn wahrend des Abspei- 
cherns einer Zustandskennung ein Schreibfehler, z. B. 
infolge eines Spannungsausfalls auftritt Die vor diesem 
Schreibfehler ordnungsgemiB abgespeicherte Zu- 
standskennung kann bei der Spannungswiederkehr aus- 
gewertet werden. 

Bei einer Weiterbildung ist vorgesehen, daB bei Span- 
nungswiederkehr die n Speicherzellen des Zustandspei- 
chers bzw. des Modulspeichers gelesen werden, und daB 
durch eine MajoritatsprQfung und/oder eine Plausibili- 
tatsprQfung festgestellt wird welche Zustandskennung 
bzw. Modulkennung vorliegt Durch diese MaBnahmen 
wird erreicht, daB bei einem fehlerhaften Abspeichern 
der letzten Zustandskennung bzw. Modulkennung infol- 
ge eines Schreibfehlers die richtige Information noch 
ermittelt werden kann. Wird z. B. die Zustandskennung 
ZK — 1 insgesamt 4 mal in 4 verschiedene Speicherzel- 
len des Zustandsspeichers eingetragen (dh. n-4) und 
ist infolge eines Spannungsausfalls beim vierten Eintrag 
faischlicherweise ZK-5 eingetragen worden, so wird 
bei der Plausibilitatskontrolle festgestellt, daB der Wert 
ZK-5 fehlerhaft ist, da dieser Wert nicht innerhalb ei- 
nes vorgegebenen Wertebereichs liegt Dagegen wer- 
den die Eintrage ZK- 1 als gQltige Werte erkannt Als 
richtige Zustandskennung wird dann ZK— 1 ausge- 
wahlt 

Bei der MajoritatsprQfung wird festgestellt, welcher 
Wert in einem Ensemble von Werten am hiufigsten 
vorkommt Dieser Wert wird dann als die richtige Zu- 
standskennung interpretiert Je grdBer die Zahl n ge- 
wahlt wird urn so h6her ist bei der MajoritatsprQfung 
die Wahrscheinlichkeit mit der die richtige Zustands- 
kennung festgestellt werden kann. Auf diese Weise ist es 
mdglich, die richtige Zustandskennung bzw. Modulken- 
nung auch dann zu ermitteln, wenn mehrere, aufeinan- 
der folgende Schreibfehler infolge eines Spannungsaus- 
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falls auftreten. 

Ein AusfQhrungsbcispiel dcr Erfindung wird im fol- 
gendcn an Hand dcr Zeichnungen erlfiutert Darin zei- 
gen 

Fig. 1 das Blockschaltbild einer Frankiermaschine mit 
Baueinheiten, soweit sie zum Verstftndnis der Erfindung 
erforderlich sind, 

Fig. 2 ein Flufldiagramm der Startphase nach Span- 
nungswiederkehr, 

Fig. 3 ein FluBdiagramm von Programmabschnitten 
wahrend der Startphase, 

Fig. 4 ein FluBdiagramm eines Programmoduls mit 
kritischen und unkritischen Programmabschnitten, und 

Fig. 5 FluBdiagramme betreffend das mehrfache Ein- 
schreiben und Lesen von Zustands- bzw. Modulkennun- 
gen. 

In Fig. 1 sind in einer Blockdarstellung wichtige Bau- 
einheiten einer Frankiermaschine dargestellt. Ein Mi- 
kroprozessor 10 arbeitet das in einem Lesespeicher 12 
abgelegte Programm, unterstQtzt von einem Schreib- 
/Lesespeicher 14, ab und steuert einen Frankierdrucker 
16, eine Anzeige 18 sowie eine Dateneingabe 20. Eine 
wesentliche Aufgabe des Mikroprozessors 10 ist die 
Portoabrechnung. Hierzu greift er auf einen zentralen 
nicht fluchtigen Speicher (22) zu, in dem der fiir die 
Frankiermaschine noch verfQgbare Portobetrag sowie 
weitere sicherheitsrelevante Daten gespeichert sind. 
Diese Daten dQrfen bei Ausfall der Stromversorgung, 
z. B. bei Netzausfall oder beim Ausschalten der Fran- 
kiermaschine, nicht verloren gehen. Der nicht fliichtige 
Speicher (22) ist daher durch eine Batterie 23 gepuffert, 
die ihn auch bei Trennung der Frankiermaschine vom 
Versorgungsnetz far lange Zeit weiter mit Strom ver- 
sorgt. 

Der Speicher 22 ist in verschiedene Speicherbereiche 
X, Y, Z und M eingeteilt Der Bereich X entspricht dem 
weiter oben genannten ersten Speicher, der Bereich Y 
dem zweiten Speicher, der Bereich Z dem Zustandsspei- 
cher und der Bereich M dem Modulspeicher. Der Zu- 
griff des Mikroprozessors 10 auf diese Bereiche wird 
weiter unten im Zusammenhang mit dem Verf ahrensab- 
laufer&utert 

Ein Spannungsdetektor 24 Qbermittelt dem Mikro- 
prozessor 10 ein Signal, wenn die Versorgungsspannung 
der Frankiermaschine ihren normalen Betriebspegel er- 
reicht hat Ein Detektor, der ein Absinken der Betriebs- 
spannung anzeigt, sowie eine Pufferbatterie, die den Be- 
tneb des Mikroprozessors 10 fiir kurze Zeit Qber den 
Zeitpunkt des Spannungsabfalls hinaus noch aufrechter- 
hait, sind bei der Erfindung nicht erforderlich. Die Kom- 
ponenten 10, 1* 14 und 24 gehdren zu den Qblichen 
K mponenten einer Rechnerbaugruppe, so daB bei An- 
wendung der Erfindung auf derartige Baugruppen zu- 
rQckgegriffen werden kann und der Hardwareaufbau 
nicht ver&ndert werden muB. 

In Fig. 2 ist in einem FluBdiagramm der Verfahrens- 
ablauf bei Spannungswiederkehr dargestellt Im Verfah- 
rensschritt 30 wird festgestellt, ob der Detektor 24 eine 
Spannungswiederkehr meldet Falls dies zutrifft, wird im 
Verfahrensschritt 32 das Programmodul SYSTEM ab- 
gearbeitet, wobei grundlegende Systemtests durchge- 
fOhrt werden, beispielsweise, b der nicht fliichtige Spei- 
cher (22) betriebsbereit ist 

Nach Abarbeiten des Programmoduls SYSTEM wird 
im Verfahrensschritt 34 das Programmodul START ge- 
startet Hierzu wird die diesem Programmodul zugeord- 
nete Modulkennung MK in den Bereich M des Spei- 
chers 22 eingeschrieben, beispielsweise in Form eines 



Textes (z. B. "start") oder einer ZahL Danach wird in den 
Bereich Z des Speichers 22 die Zustandskennung ZK - 0 
eingetragen. Diese Zustandskennung ZK steht f Or einen 
nicht kritischen Programmabschnitt, in welchem keine 
5 Daten im Speicher 22 getadert werden. 

Im nachfolgenden Verfahrensschritt 38 wird ermittelt, 
ob die vor der Spannungswiederkehr zuletzt eingetra- 
gene Zustandskennung ZK den Wert 0 hat Hierzu wird 
auf den Bereich Z das Speichers 22 zugegriffen. Wenn 
to dies der Fall ist, d h. das Programm wurde in einem 
nicht kritischen Programmabschnitt unterbrochen, so 
daB eine Wiederherstellung der Speicherinhalte im 
Speicher 22 nicht erforderlich ist, so wird zum n&chsten 
Programmodul 40 verzweigt, in dem die Initialisierung 
is verschiedener GerSte und Systemkomponenten erfolgt 
AnschlieBend werden die weiteren Programmodule 42, 
44, 46 abgearbeitet, die die eigentlichen Funktionen der 
Frankiermaschine bewirken, wie z. B. das Eingeben von 
Daten, die Anzeige von Daten und das Drucken des 
20 Portowertes. 

Nach dem Abarbeiten des Programmoduls DRUK- 
KEN im Verfahrensschritt 46 wird wieder zum Verfah- 
rensschritt 40 verzweigt, so daB die Funktionen der 
Frankiermaschine weiterhin aktiviert sind und bei Be- 
25 darf ausgefQhrt werden kdnnea Das Starten und Abar- 
beiten der in den Verfahrensschritten 40 bis 46 genann- 
ten Programmodule muB nicht unbedingt in der in Fig. 2 
angegebenen Reihenfolge erfolgen, sondern kann je 
nach vorhandenem Betriebssystem interruptgesteuert 
30 in einer anderen, durch Anforderungen von auBen vor- 
gegebenen Reihenfolge ausgefQhrt werden. 

Falls im Verfahrensschritt 38 festgestellt wird, daB die 
Zustandskennung ZK vor dem SpannungsausfaU nicht 
den Wert 0 hat, d. h^ daB ein kritischer Programmab- 
35 schnitt unterbrochen wurde, so wird der Ablauf bei A 
fortgesetzt, der in Fig. 3 dargestellt ist und nachfolgend 
beschrieben wird Im Verfahrensschritt 50 wird abge- 
fragt, ob die vor dem Spannungsausfall zuletzt abge- 
speicherte Zustandskennung ZK den Wert 1 hat Falls 
40 dies zutrifft, so wird im Verfahrensschritt 52 die Zu- 
standskennung ZK« 1 in den Bereich Z des Speichers 
22 eingetragen, da der nachfolgende Programmschritt 
54 sicherheitsrelevante Daten im Speicher 22 verandert 
und damit ein kritischer Programmabschnitt vorliegt 
45 Bis zum Verfahrensschritt 52 hatte die aktuelle Zu- 
standskennung ZK gemaB Verfahrensschritt 36 den 
WertO. 

Der Wert 1 der vor dem Spannungsausfall zuletzt 
abgespeicherten Zustandskennung ZK-1 bedeutet, daB 
so erne Unterbrechung des kritischen Programmabschnitts 
in der Phase erfolgt ist, in der Informationen in den 
ersten nicht flQchtigen Speicher, d. h. in den Bereich X, 
eingeschrieben oder vertadert worden sind. Da im 
zweiten Speicher, d. h. im Bereich Y, stoitliche Informa- 
55 tionen vom vorherigen Durchlaufen des kritischen Pro- 
grammabschnitts noch unverfindert erhalten sind, kann 
der vor der Spannungsunterbrechung im Bereich X 
herrschende Zustand wieder hergesteUt werden. Hierzu 
werden gemaB Verfahrensschritt 54 die Informationen 
60 des Bereichs Y in den Bereich X Qbertragen. 

Die nachfolgenden Verfahrensschritte betreffen wie- 
der nicht kritische Programmabschnitte, s daB die Zu- 
standskennung im Verfahrensschritt 56 auf den Wert 0 
gesetzt wird Im Verfahrensschritt 58 wird anhand der 
6S Modulkennung MK festgestellt, welches Programm - 
dul beim Spannungsausfall unterbrochen worden war 
Je nach Art des unterbrochenen Programmoduls, wer- 
den die begonnenen Prozesse abgebrochen oder rtick- 
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gangig gemacht Beispielsweise wird einc teilweise be- 
arbeitete Anforderung fQr cin Frankiercn abgebrochen. 
Diese Frankieranforderung kann dann, falls noch erf r- 
derlich, erneut gestartet und bearbeitet werden. Erfolg- 
te die Unterbrechung bei der Eingabe von Daten, so 
werden diese Daten ignoriert, und es wird gegebenen- 
falis erneut zur Eingabe von Daten aufgefordert An- 
schlieBend wird zum Verfahrensschritt 40 verzweigt 
(Fig. 2) und die weiteren Programmodule abgearbeitet 
Wenn im Verfahrensschritt 50 festgestellt wird, daB 
der Wert der Zustandskennung ZK nicht 1 ist, was be- 
deutet daB die Zustandskennung ZK den Wert 2 hat, so 
wird zum Verfahrensschritt 60 verzweigt Der Wert 2 
besagt einerseits, daB beim Spannungsausfall der kriti- 
sche Programmabschnitt in der Phase unterbrochen 
worden ist, in der Informationen in den zweiten Spei- 
cher eingeschrieben worden sind. Andererseits sind die 
Informationen bei der Abarbeitung des kritischen Pro- 
grammabschnitts noch ordnungsgemHB in den ersten 
Speicher eingetragen worden. Der Inhalt des zweiten 
Speichers muB demnach noch mit den Informationen 
des ersten Speichers beschrieben werden, damit beide 
Speicher identischen Inhalt haben. Da ein Speicherzu- 
grif f auf den Speicher 22 erforderlich ist und sicherheits- 
relevante Daten ge&ndert werden, wird im Verfahrens- 
schritt 60 die aktuelle Zustandskennung ZK auf 2 ge- 
setzt (sie hatte bislang den Wert 0) und im Verfahrens- 
schritt 62 wird der Inhalt des Speicherbereichs X in den 
Bereich Y Obertragen. 

Mit dem nftchsten Verfahrensschritt 64 beginnt wie- 
der ein unkritischer Programmabschnitt in dem keine 
Daten im Speicher 22 getadert werden. Die Zustands- 
kennung ZK wird daher im Verfahrensschritt 64 auf den 
Wert 0 gesetzt 

Im nachfolgenden Verfahrensschritt 66 wird anhand 
der Modulkennung MK festgestellt, welches Program- 
modul bearbeitet worden war, bevor die Unterbre- 
chung infolge Spannungsausfalls aufgetreten ist Da die 
Portoabrechnung im ersten nicht flQchtigen Speicher 
bzw. im Speicherbereich X ordnungsgemaB ausgefOhrt 
und damit die zu diesem ProzeBschritt gehdrende Da- 
ten&nderung im Speicher 22 erfolgreich durchgefOhrt 
worden ist, kann der unterbrochene ProzeB weiterge- 
fiihrt bzw. abgeschlossen werden. Beispielsweise kann 
eine begonnene und dann unterbrochene Frankierung 
nach Spannungswiederkehr zu Ende gefuhrt werden. 
AnschlieBend wird zum Verfahrensschritt 40 (Fig. 2) 
weitergegangen. 

In Fig. 4 ist der Ablauf beim Abarbeiten eines Pro- 
grammoduls dargestellt, das kritische und nicht kritische 
Programmabschnitte enthalt Nach dem Start des Pro- 
grammoduls wird die das Programmodul kennzeichnen- 
de Modulkennung MK in den Modulspeicher M einge- 
tragen (Verfahrensschritt 70). Im darauffolgenden Ver- 
fahrensschritt wird als Zustandskennung ZK der Wert 0 
in den Zustandsspeicher Z eingetragen und damit der 
nachfolgende Programmabschnitt als unkritisch ge- 
kennzeichnet Beim Abarbeiten des nftchsten Verfah- 
rensschritts 74 werden die f Or die Funktion des Pro- 
grammoduls notwendigen Berechnungen, die ProzeB- 
steuerung oder der Datentransfer durchgefOhrt, bei- 
spielsweise urn einen Brief in der Frankiermaschine zu 
transportieren und zu frankieren. 

Im Verfahrensschritt 76 wird abgefragt, b Inf rma- 
tionen im nicht flQchtigen Speicher 22 zu flndern sind. 
Falls dies nicht zutrifft wird zum Schritt 88 verzweigt 
Andernfails werden die nachf Igenden Verfahrens- 
schritte 78 bis 86 ausgefOhrt, die einen kritischen Pro- 
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grammabschnitt darstellen. Im Verfahrensschritt 78 
wird die Zustandskennung ZK auf den Wert 1 gesetzt 
AnschlieBend wird im Verfahrensschritt 80 die Manipu- 
lation des ersten nicht flQchtigen Speichers, d h. im 
5 Speicherbereich X, ausgefOhrt und die Informationen 
eingeschrieben. Beispielsweise wird der nach einer 
durchgefQhrten Frankierung noch verbleibende Ge- 
samtbetrag fflr das Porto eingetragen. Damit ist die er- 
ste Phase des kritischen Programmabschnitts abge- 
io schlossen. 

In der nachfolgenden zweiten Phase wird im Verfah- 
rensschritt 82 die Zustandskennung ZK auf den Wert 2 
gesetzt und anschlieBend im Verfahrensschritt 84 die 
vorgenannten Informationen in den zweiten nicht flQch- 
15 tiger Speicher, dh. in den Speicherbereich Y einge- 
schrieben. Damit ist die zweite Phase des kritischen Pro- 
grammabschnitts abgeschlossen. Es ist noch zu erw&h- 
nen, daB wShrend des kritischen Programmabschnitts 
auch Programmschritte wie z.B. Berechnungen oder 
20 ProzeBsteuerungen ausgefuhrt werden kdnnen. Die 
zum kritischen Programmabschnitt gehdrenden Verfah- 
rensschritte kdnnen in Form eines Unterprogramms 
oder eines Makroprogramms in das Programmodul ein- 
gebunden sein. 
25 Nachfolgend wird im Verfahrensschritt 86 die Zu- 
standskennung auf den Wert 0 gesetzt, der einen nach- 
folgenden unkritischen Programmabschnitt kennzeich- 
net Im darauffolgenden Verfahrensschritt 88 wird Ober- 
pruft, ob silmtliche Programmschritte des Programmo- 
30 duls abgearbeitet sind. Wenn dies nicht zutrifft, so wird 
zum Verfahrensschritt 74 verzweigt Andernfails wird 
das nachste Programmodul abgearbeitet, z. B. das Pro- 
grammodul des Verf ahrensschritts 40. 

In Fig. 5 sind in zwei FluBdiagrammen Verf ahrens- 
35 schritte dargestellt, die das mehrfache Einschreiben und 
Auslesen von Zustandskennungen betreffen. Diese Ver- 
fahrensschritte kdnnen auf analoge Weise auch beim 
Einschreiben und Lesen der Modulkennung verwendet 
werden. Wie weiter vorne bereits eriautert, dient das 
40 mehrfache Einschreiben dazu, die Redundanz des Ver- 
fahrens zu erhOhen, so daB fehlerhafte Zustandskennun- 
gen bei der Anwendung des Verfahrens toleriert wer- 
den. Die nachfolgend beschriebenen Verfahrensschritte 
90 bis 98 sowie 100 bis 104 kdnnen beispielsweise an 
45 Stelle der Verfahrensschritte 78 (Fig. 4) bzw. 38 (Fig. 2) 
verwendet werden. 

Im Verfahrensschritt 90 wird die aktuelle Zustands- 
kennung, z.B. ZK-1, in die Speicherzelle mit der 
Adresse einer Laufvariablen L des Zustandsspeichers Z 
so eingeschrieben. Dieser Zustandsspeicher hat 4 Spei- 
cherzellen mit den Adressen A - 0, 1, 2, 3, 4. Die Laufva- 
riable L hat beim ersten Einschreiben den Wert 0. Im 
nichsten Verfahrensschritt 92 wird unter Verwendung 
der Laufvariablen L auf die aktuelle Speicherzelle des 
55 Zustandspeichers Z zugegriffen und deren Inhalt gele- 
sen. Im darauffolgenden Verfahrensschritt 94 wird flber- 
prQft, ob die Zustandskennung ZK richtig eingetragen 
worden ist Wenn dies nicht der Fall ist, so wird zum 
Verfahrensschritt 90 verzweigt und der Schreibvorgang 
60 wiederholt Falls die Zustandskennung erfolgreich in 
den Zustandsspeicher Z eingetragen wurde, wird im 
Verfahrensschritt 96 die Laufvariable urn 1 erhdht 

Im Verfahrensschritt 98 wird geprflft, ob die Laufvari- 
able L den Wert 4 erreicht hat Bei negativem Ergebnis 
65 wird zu Schritt 90 verzweigt und die Eintragung in die 
Speicherzelle mit um 1 erhdhter Adresse ausgefOhrt Bei 
positivem Ergebnis wird der Programmteil verlassen. 
Der Speicher Z enthalt dann unter den Adressen A— 0 
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bis 4 die aktueile Zustandskennung ZK. 

Bei Spannungswicderkehr wcrdcn die Verfahrens- 
schritte 100 bis 104 ausgefilhrt. Im Verfahrensschritt 100 
werden die Speicherzellen mit den Adressen 0 bis 4 
gelesen. Im nachfolgenden Verfahr nsschritt 102 wird 5 
eine Majoritits- oder eine PlausibilitatsprOfung durch- 
geftthrt Bei der Majorit&tsprttfung wird festgestellt, 
welche Zustandskenming ZK am hftufigsten in den vor- 
genannten Speicherzellen vorkommt Diese Zustands- 
kennung ZK wird dann im Schritt 104 als die letzte 10 
Zustandskennung ZK-1 verwendet Bei der Plausibili- 
tatsprOfung wird festgestellt, ob der oder die eingetra- 
genen Werte einem gfiltigen, vorher festgelegten Wer- 
tebereich angehdren, z. B. ZK-0, 1, 2. 1st dies der Fall 
so wird der zuletzt eingetragene gOltige Wert als die 15 
letzte Zustandskennung ZK- 1 verwendet 

PatentansprQche 

1. Verfahren zum Betreiben einer Datenverarbei- 20 
tungsanlage, bei dem die Datenverarbeitungsanla- 
ge mindestens einen kritischen Programmabschnitt 
abarbeitet, der das Einschreiben von Informationen 
in einen ersten nicht fluchtigen Speicher veranlaBt 
und der nach erfolgter Abarbeitung verlassen wird, 25 
wobei bei einer auf einen Spannungsausfall folgen- 
den Spannungswiederkehr die vor dem Spannungs- 
ausfall im Speicher vorhandenen Informationen 
wieder bereitgestellt werden, dadurch gekenn- 
zeichnet, daB zu Beginn des Einschreibens der In- 30 
formationen eine erste Zustandskennung (ZK=1) 
in einen nicht fluchtigen Zustandsspeicher (Z) min- 
destens einmal eingeschrieben wird, daB nach dem 
Einschreiben der Informationen eine zweite, von 
der ersten Zustandskennung (ZK— 1) verschiedene 35 
Zustandskennung (ZK = 2) in den Zustandsspeicher 
(Z) mindestens einmal eingeschrieben wird, die sel- 
ben Informationen in einen zweiten nicht fluchtigen 
Speicher (Y) eingeschrieben werden und der kriti- 
sche Programmabschnitt verlassen wird, daB bei 40 
Spannungswiederkehr die vor dem Spannungsaus- 
fall in den Zustandsspeicher (Z) zuletzt eingeschrie- 
bene Zustandskennung (ZK-1) gelesen wird und bei 
Vorliegen der ersten Zustandskennung (ZK«1) 
diese in den Zustandsspeicher (Z) mindestens ein- 45 
mal eingeschrieben wird, die Informationen aus 
dem zweiten Speicher (Y) in den ersten Speicher 
(X) ubertragen werden und der kritische Pro- 
grammabschnitt verlassen wird, und daB bei Vorlie- 
gen der zweiten Zustandskennung (ZK — 2) diese in 50 
den Zustandsspeicher (Z) mindestens einmal einge- 
schrieben wird, die Informationen aus dem ersten 
Speicher (X) in den zweiten Speicher (Y) eingele- 
sen werden und der kritische Programmabschnitt 
verlassen wird. 55 
2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Datenverarbeitungsanlage (10) 
weiterhin mindestens einen unkritischen Pro- 
grammabschnitt abarbeitet, der kein Einschreiben 
von Informationen in den ersten oder zweiten nicht 60 
flflchtigen Speicher (X) veranlaBt, wobei zu Beginn 
des Abarbeitens dieses unkritischen Programmab- 
schnitts in den Zustandsspeicher (Z) eine dritte Zu- 
standskennung (ZK-0) mindestens einmal einge- 
schrieben wird, und daB bei Spannungswiederkehr 65 
beim V rliegen der dritten Zustandskennung 
(ZK-0) das Abarbeiten des unkritischen Pro- 
grammabschnitt beim unterbrochenen Pro- 
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grammschritt fortgesetzt wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB mindestens ein kritischer Pr - 
grammabschnitt und/oder mindestens ein unkriti- 
scher Programmabschnitt Teil eines Programmo- 
duls ist, das von der Datenverarbeitungsanlage (10) 
abgearbeitet wird. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB nach Spannungswiederkehr und bei 
Vorliegen der ersten Zustandskennung (ZK - 1) die 
vom Programmodul gesteuerten Prozesse zurttck- 
gesetzt und/oder das Programmodul erneut abge- 
arbeitet wird. 

5. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB nach Spannungswiederkehr und bei 
Vorliegen der zweiten Zustandskennung (ZK-2) 
das Abarbeiten des Programmoduls fortges tzt 
wird. 

6. Verfahren nach einem der Ansprtiche 3 bis 5, 
dadurch gekennzeichnet, daB beim Abarbeiten 
mehrerer Programmodule jedem Programmodul 
eine Modulkennung (MK) zugeordnet wird, die in 
einem nicht flQchtigen Modulspeicher (M) zu Be- 
ginn des Abarbeitens des Programmoduls minde- 
stens einmal abgespeichert wird, und daB bei Span- 
nungswiederkehr zum Programmodul mit der zu- 
letzt abgespeicherten Modulkennung (MK) ver- 
zweigt wird 

7. Verfahren nach einem der vorhergehenden An- 
sprtiche, dadurch gekennzeichnet, daB ein nicht 
flQchtiger Zentralspeicher (22) eingesetzt wird, des- 
sen verschiedenen, voneinander getrennten Spei- 
cherbereiche als erster, zweiter nichtflttchtiger 
Speicher (X, Y) bzw. als Zustandsspeicher (Z) ver- 
wendet werden. 

8. Verfahren nach Anspruch 7, dadurch gekenn- 
zeichnet, daB ein Speicherbereich (M) des Zentral- 
speichers (22) als Modulspeicher verwendet wird. 

9. Verfahren nach einem der vorhergehenden An- 
sprOche, dadurch gekennzeichnet, daB die erste, die 
zweite und/oder die dritte Zustandskennung 
(ZK-1, 2, 0) und/oder die Modulkennung (MK) 
jeweils in n Speicherzellen des jeweiligen Speichers 
(Z bzw. M) mehrfach abgespeichert wird, wobei n 
eine vorgegebene Zahl ist, vorzugsweise 3. 

10. Verfahren nach Anspruch 9, dadurch gekenn- 
zeichnet, daB bei Spannungswiederkehr die n Spei- 
cherzellen der jeweiligen Speicher (Z bzw. M) gele- 
sen werden, und daB durch eine Majoritatsprttfung 
und/oder eine Plausibilitfttsprttfung festgestellt 
wird, welche Zustandskennung (ZK) bzw. Modul- 
kennung (MK) vorliegt. 

11. Verfahren nach einem der vorhergehenden An- 
sprQche, dadurch gekennzeichnet, daB es in einer 
Frankiermaschine angewendet wird. 

12. Verfahren nach Anspruch 11, dadurch gekenn- 
zeichnet, daB beim Abarbeiten des kritischen Pro- 
grammabschnitts die Portoabrechnung durchge- 
fiihrt wird. 

13. Verfahren nach Anspruch 11 oder 12, dadurch 
gekennzeichnet, daB bei der Abarbeitung des un- 
kritischen Programmabschnitts der Druckvorgang 
beim Frankieren ausgefilhrt wird. 



Hierzu 5 Seite(n) Zeichnungen 



- Leerseite - 



ZEICHNUNGEN SEITE 1 



Nummer: 
Int. CI. 5 : 

Offentegungstag: 



DE 42 17 830 A1 
Q06F 1/30 

2. Dezember 1993 



Qefektor 



ROM 


— 12 








„22 



M 



Drucker 



Anzeige 
Eingabe 



£2. 



Fig 1 



308 048/314 



ZEICHNUNGEN SEITE 2 



Nummer: 
Int. CI. 5 : 

Offenlegungstag: 



DE 42 17 830 A1 
G06F 1/30 

2. Dez mber 1993 



Q START } 



30 —J 

(spannungswiederkehrj 



34—, 



36 — 



38 





j 


PM 

"System" 






MK "PM START" 






ZK = 0 







ZK (-1) = 0 



© 



<D 



PM 


"Initialisierung" 






PM 


"Eingabe" 






PM 


"Anzeige" 






PM 


"Drucken" 



40 



42 



44 



46 



308046/314 



ZEICHNUNGEN SEJTE 3 



Nummer: 
Int. CI. 5 : 

Offenlegungstag: 



DE 42 17 830 A1 
G06F 1/30 
2.D zember 1993 



© 



50 





\ 


ZK = 2 






Kopiere X^Y 






ZK = 0 






PM (-1) 
fortsefzen 







1 



ZK (-1) = 1 



60 



62 



■64 



66 







ZK = 1 






Kopiere Y— X 






ZK = 0 






PM (-1) 
abbrechen 







52 



54 



56 



_S8 



© 



Fig. 3 



308 048/314 



ZEICHNUNGEN SEfTE 4 



Nummer: 
Int. CI. 5 : 

Offenlegungstag: 



DE 42 17 830 A1 
G06F 1/30 

2. Dezember1993 



(starTpm) 



MK eintragen 



ZK = 0 



-72 



Berechnungen, 
ProzeBsteuerung 



-74 



<Anderung 
kritischer Paten / 



ZK = 1 



-78 



Oaten speichern in X 



ZK = 2 



-82 



Oaten speichern in Y 



-84 



ZK = 0 



-86 



PM beendet 



® 



Fid. 4 



308048/314 



ZEICHNUNGEN SEITE 5 Numm r: ° E " 17 ."J A1 

Int. CI.*: O 06 F 1/80 

Offenlegungstag: 2. Dezember 1993 



90 — 



( START ) 



ZK einschreiben 
(z.B. ZK = 1) 



92 — 



Z lesen 



94. 



< ^ ZK richtig 



96 — 



Laufvariable L 
inkrementieren 



L - A 



> 



0 




1 




2 




3 





100 — 



Lese 


Z 


(L = 


0.1.2.3) 



102 — 


Priifun 






(ZK = C 


?1.2> 



104 — 



ZK - 1 f esttegen 



Q Ende ) 



Fig. 5 



308 048/314 



1/5/1 

DIALOG (R) File 3 51: DERWENT WPI 
(c) 2000 Derwent Info Ltd. All rts. reserv. 

009685388 **Image available** 
WPI Acc No: 93-378942/199348 

vppv Arc No: N93-292643 . . . . 

Data processor operating system - stores data in ROM during critical 
^ogram step to ensure Lory back-up of information for critical program 

Pa^t^gneT FRANCOTYP ;0S^X A B 0Sr ( ™ FRANCOTYP- POSTALI A fc CO 

AG (FRAN-N) 
Inventor: GUENTER S ; GUENTHER S 

Number of Countries: 017 Number of Patents: 006 

Patent Family: . WepV 

Patent No Kind Date Applicat No Kind Date Mam IPC Week 

FP 572019 A2 199312T>1 EP 93108608 A 19930527 G06F-011/14 199348 B 

Z 17830 Al 19931202 DE 4217830 A 19920529 ---OO^' »93« 

FP 572019 A3 19941130 EP 93108608 A 19930527 G06F-011/14 199536 

DE 42^7830 C2 ^9960118 DE 4217830 A 19920529 G06F-001/30 199607 

EP 572019 Bl 19980812 EP 93108608 A 19930527 G06P-011/14 199836 

11 59308855 G 19980917 DE 508855 A 19930527 G06F-011/14 199843 

EP 93108608 A 19930527 

Priority Applications (No Type Date) : DE 4217830 A "920529 
cited Patents: No-SR.Pub; I.Jnl.Ref; EP 249061; WO 8402409 

Parent ^Kind^an Pg Fiiing Notes Application Patent 

EP Designated'states (Regional, : AT BE CH DE DK ES FR GB GR IE IT ,1 LU MC 

Nli PT SE 
DE 4217830 Al 11 
DE 4217830 C2 11 
EP 572019 Bl G- 

Designated States (Regional) : CH DE FR GB IT LI 
DE 59308855 G Based on 



EP 572019 



Abstract (Basic) : EP 572019 A 

The operating system allows information entered in a memory before 

In option Ts eTtered during I critical programme step ; .random 
access memory and a second read-only memory holding condition 

'^Tcondition indication is supplied to the latter memo ry upon 
initiating write-in of information to first read -onl y m emory^a 

second condition information supplied at the end ot en 
write-in before the same information is fed to the random access 
memory and the critical programme step performed. The condition 
formation is used to access the information upon a voltage 

"'"ADVANTAGE - Ensures memory back-up so no data loss upon power 
failure . 

STEP • PREVENT; LOSS; VOLTAGE; SUPPLY; FAIL 
File Segment: EPI 




THIS PAGE BLANK iu«™> 



